企業のWebサイトを訪れると、ほぼ必ず「プライバシーポリシー」というページが設置されています。しかし、この文書が何のためにあり、何を書くべきものなのかを正確に把握できていない担当者も少なくありません。
本記事では、プライバシーポリシーの役割を整理したうえで、記載すべき内容と、法改正によって記載事項がどう変わってきたかを解説します。
目次
プライバシーポリシーとは
プライバシーポリシーとは、組織が個人情報をどのように取り扱うかを対外的に示す文書です。個人情報保護法に「プライバシーポリシーを作成しなさい」という直接的な規定があるわけではありません。ただし、同法は個人情報取扱事業者に対して、利用目的の公表(第21条)や保有個人データに関する事項の公表(第32条)を求めています。こうした公表義務を果たす手段として、「プライバシーポリシー」という名称の文書にまとめて公表する運用が定着しています。
ここで押さえておきたいのが、プライバシーポリシーの中身には性質の異なる2つの要素が含まれている点です。
1つ目は「方針」としての要素です。「当社は個人情報の保護を重要な責務と認識し、適切な管理に努めます」といった、組織としての基本的な姿勢を宣言する部分です。
2つ目は「個人情報の取り扱いに関する具体的事項」です。利用目的の一覧、第三者提供の有無、開示請求の窓口といった、法律に基づく公表事項がここに該当します。
多くの企業はこの2つを1つの文書にまとめて「プライバシーポリシー」として公表しています。一方で、「プライバシーポリシー」と「個人情報の取り扱いについて」を別の文書として分けている企業もあります。どちらの形式でも法的な問題はありませんが、後述する法改正で変更が必要になるのは主に後者、つまり具体的な取扱い事項の方です。この区別は、運用上の見直しを考えるうえで重要なポイントになります。
プライバシーポリシーに記載する主な内容
プライバシーポリシーに記載する内容は、前章で触れた「方針的な記載事項」と「具体的な取扱い事項」に分けて考えるとわかりやすくなります。
方針的な記載事項
方針部分には、組織としての個人情報保護に対する基本姿勢を記載します。たとえば、法令遵守の宣言、個人情報保護の継続的な改善への取り組み、従業員への教育・啓発の実施方針などがこれにあたります。この部分は、法改正があっても大きく変わることはほとんどありません。組織としての姿勢を示す「土台」のような役割を果たします。ただし、プライバシーマークなど個人情報に関連する認証制度を取得している場合は、認証基準上の必須要件として方針に盛り込むべき事項が定められていることがあります。
具体的な取扱い事項
法改正の影響を直接受けるのは、こちらです。個人情報保護法が公表を求めている主な事項には、以下のようなものがあります。
利用目的:取得した個人情報をどのような目的で利用するかを、本人が合理的に予測・想定できる程度に具体的に記載します。「サービス向上のため」のような曖昧な記載では不十分であり、たとえば「お客様の購買履歴を分析し、趣味・嗜好に応じた商品を広告表示します」といった具体的な記載が求められます。
第三者提供に関する事項:個人データを第三者に提供する場合の条件や、オプトアウト手続きの方法を記載します。共同利用を行う場合は、共同利用者の範囲や管理責任者などの情報も必要です。
安全管理措置:保有個人データの安全管理のために講じている措置の内容を公表する必要があります。具体的には、組織的・人的・物理的・技術的安全管理措置について、その概要を記載します。
開示・訂正・利用停止等の請求手続き:本人が自らの保有個人データについて開示や訂正、利用停止などを請求する場合の手続き方法、連絡先を記載します。
事業者の名称・住所・代表者氏名:事業者の名称だけでなく、住所および代表者氏名の公表も必要です。
Cookie・個人関連情報の取り扱い:Webサイトを運営している場合、Cookieなどの識別子を通じて閲覧履歴などを取得・利用しているケースがあります。こうしたデータは「個人関連情報」に該当し、これを第三者に提供して提供先で個人データと紐づけて利用する場合には、本人同意の確認が必要です。対象となる企業はプライバシーポリシーでの説明・同意取得が必要になります。
外国にある第三者への提供:個人データを外国の事業者に提供する場合、提供先の国名や、当該国の個人情報保護に関する制度、提供先が講じている保護措置などの情報を本人に提供する必要があります。
法改正によるプライバシーポリシーの変化
個人情報保護法は、社会状況や技術の変化に合わせて改正が重ねられてきました。なお、デジタル社会形成整備法やマイナンバー法など他の法律の改正に伴う技術的な改正も頻繁に行われていますが、本記事ではプライバシーポリシーの記載内容に大きく影響した、いわゆる「3年ごとの見直し」に基づく改正を中心に取り上げます。
2015年改正(2017年施行)
この改正は、2003年の制定以来初めての本格的な改正でした。プライバシーポリシーへの影響として大きかったのが、小規模事業者への適用拡大です。それまで取り扱う個人情報が5,000人分以下の事業者は適用除外でしたが、この改正で全ての事業者が対象となり、中小企業やスタートアップでもプライバシーポリシーの整備が実質的に必要になりました。
また、「要配慮個人情報」の概念が新設されました。人種、信条、病歴、犯罪歴などの機微情報の取得には原則として本人同意が必要となり、該当する情報を扱う事業者はプライバシーポリシーへの記載が求められるようになりました。
さらに、個人情報保護委員会が設置され、監督権限が一元化されるとともに、3年ごとの見直し規定が導入されました。この規定によって、プライバシーポリシーも定期的に見直すことが制度上の前提になったといえます。
2020年改正(2022年施行)
この改正は、プライバシーポリシーの記載内容に最も大きな影響を与えました。主な変更点は以下のとおりです。
安全管理措置の公表義務化:それまでも安全管理措置を講じる義務はありましたが、その内容を外部に公表する義務はありませんでした。この改正により、具体的にどのような措置を講じているかを本人が知り得る状態にすることが求められ、多くの企業がプライバシーポリシーに安全管理措置の項目を追加しました。
利用目的の特定の厳格化:利用目的について「本人が合理的に予測・想定できる程度に」具体的な記載が求められるようになりました。
個人関連情報の新設:Cookie等の端末識別子に紐づく閲覧履歴や行動履歴が「個人関連情報」として定義され、これを第三者に提供し、提供先において個人データと紐づけて利用する場合の規制が新設されました。
漏洩報告の義務化:一定の条件を満たす漏洩事案について、個人情報保護委員会への報告と本人への通知が義務化されました。直接プライバシーポリシーに記載する事項ではありませんが、漏洩時の対応体制やフローに影響を与える変更です。
保有個人データに関する公表事項の追加:事業者の名称に加えて住所・代表者氏名の公表が必要になり、電磁的記録による開示方法への対応など、公表事項が増えました。
本人の権利の拡充:利用停止・消去・第三者提供停止の請求権が拡充され、法違反がなくても個人の権利利益が害されるおそれがある場合に請求が可能になりました。請求手続きの説明を更新する必要があります。
このように、2022年施行の改正では複数の項目で記載の追加・修正が必要になりました。特に「安全管理措置の公表」と「個人関連情報への対応」は、それまでのプライバシーポリシーには含まれていなかった新しい記載事項であり、実務への影響が大きいものでした。そして、見直しが必要になったのはいずれも「方針」部分ではなく、「個人情報の取り扱いに関する具体的事項」の方です。
次回改正に向けた動き
2015年の改正で導入された3年ごとの見直し規定は、直前の改正の施行後3年を目途に次の見直しを行うというサイクルです。2020年改正(2022年施行)を受けて、2023年11月から次回の見直し検討が開始されました。2026年1月には個人情報保護委員会から「制度改正方針」が公表され、2026年の通常国会への法案提出を目指す段階に入っています。
制度改正方針の中で、プライバシーポリシーの記載に影響しそうなものとしては、同意規制の見直し(統計作成等を目的としたデータ利活用の場合に本人同意なき第三者提供を可能とする方向)、こどもの個人情報の保護強化(16歳未満の者について法定代理人への同意取得・通知を義務化する方向)、委託先に対する規律の新設、課徴金制度の導入などがあります。
法案の成立・施行はまだ確定していませんが、改正方針の方向性を踏まえると、プライバシーポリシーの取扱い事項についても再び見直しが必要になる可能性が高いでしょう。
まとめ
プライバシーポリシーは、組織としての方針と、個人情報の具体的な取扱いに関する公表事項をまとめた外部向けの文書です。
法改正の影響を受けるのは、主に「個人情報の取り扱いに関する具体的事項」の部分です。方針部分は比較的安定していますが、取扱い事項は法改正のたびに見直しが必要になります。2022年施行の改正では安全管理措置の公表義務化や個人関連情報の新設といった大きな変更があり、現在も次の改正に向けた検討が進んでいます。
自社のプライバシーポリシーが最新の法的要件を満たしているか、また「個人情報の取り扱いについて」の記載が実態と合っているか、点検してみてはいかが








